Upgrade to Pro — share decks privately, control downloads, hide ads and more …

身近なセキュリティについて学びましょう!

 身近なセキュリティについて学びましょう!

2024/3/22に開催されましたKCGセミナーにて登壇した内容です

Yasuhiro Matsuda

March 22, 2024
Tweet

More Decks by Yasuhiro Matsuda

Other Decks in Technology

Transcript

  1. 仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア(イースト株式会社) 士業資格 ▮ 情報処理安全確保支援士 ファイナンシャル・プランニング技能士2級(AFP) 中小企業診断士 主な活動

    ▮ JAWS-UG 金沢支部コアメンバー AWS Community Builder 中学校のPTA会長 IPA セキュリティプレゼンター 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ
  2. サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 私たちにはセキュリティ対策は関係ない? 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー

    2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 (ゼロディ攻撃) ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位
  3. 優先順位の付け方 リスクマネジメント 情報資産に関するリスク源(脅威・脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染

    感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE(年間損失見込み額)= SLE(単一損失予想)× ARO(年間発生率)
  4. 影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 (共有)

    リスク回避 リスク保有 リスク低減 (最適化) 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす(影響度・確率共に) リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容・許容するか何らかのリスク 対応を適用するのかを決定する。